Saltar al contenido principal

Configuraciones recomendadas para CloudPanel

ivan@ivancarlos.com.br
Actualización

Desactivación de servicios no utilizados:

MariaDB

  • Es el servicio de base de datos predeterminado de CloudPanel, compatible con instrucciones MySQL
  • Desactívalo si no utilizas esta base de datos
sudo systemctl disable mariadb --now

PHP.FPM

  • Son los servicios que permiten la ejecución de aplicaciones PHP
  • Desactívalos si no utilizas aplicaciones PHP, puedes desactivar solo las versiones no utilizadas. Los sitios PHP utilizan PHP 8.0 como predeterminado y pueden ser cambiados desde el panel de configuración. Si se desactiva PHP 8.0, algunos procesos como la creación de sitios PHP pueden fallar.
sudo systemctl disable php7.1-fpm --now
sudo systemctl disable php7.2-fpm --now
sudo systemctl disable php7.3-fpm --now
sudo systemctl disable php7.4-fpm --now
sudo systemctl disable php8.0-fpm --now
sudo systemctl disable php8.1-fpm --now
sudo systemctl disable php8.2-fpm --now
sudo systemctl disable php8.3-fpm --now
sudo systemctl disable php8.4-fpm --now

Paquetes de servicios menos utilizados:

  • Memcached: Es un sistema de caché de objetos equivalente a Redis
  • Postfix: Es un servicio para envío y entrega de mensajes de correo electrónico
  • ProFTPD: Es un servicio que habilita accesos vía FTP
  • Uncomplicated Firewall: Es un buen firewall para proteger los puertos abiertos en el sistema operativo cuando está expuesto en internet
  • Varnish: Es un buen sistema de caché de páginas pero depende de manipulación del webservice
sudo systemctl disable memcached --now
sudo systemctl disable postfix --now
sudo systemctl disable proftpd --now
sudo systemctl disable ufw --now
sudo systemctl disable varnish --now

Configuraciones importantes del panel:

  • Respaldo de los sitios del panel: https://[domain]/admin/remote-backup
  • Dominio del panel (puerto predeterminado: 8443): https://[domain]/admin/settings
  • Zona horaria del panel: https://[domain]/admin/instance/settings
  • 2FA del usuario: https://[domain]/security
  • Zona horaria del usuario: https://[domain]/settings

Configuraciones importantes por shell:

Redis recomienda que la configuración vm.overcommit_memory sea siempre 1, así como la configuración de un bind que aún no está disponible puede impedir el inicio de Redis. Puedes ejecutar las siguientes líneas para agregar vm.overcommit_memory = 1 y net.ipv4.ip_nonlocal_bind = 1 en el archivo /etc/sysctl.conf y luego aplicar la configuración ejecutando sysctl -p.

{
  # 1. Handle vm.overcommit_memory
  if grep -q "^vm.overcommit_memory" /etc/sysctl.conf; then
    sudo sed -i 's/^vm.overcommit_memory.*/vm.overcommit_memory = 1/' /etc/sysctl.conf
  else
    echo "vm.overcommit_memory = 1" | sudo tee -a /etc/sysctl.conf
  fi

  # 2. Handle net.ipv4.ip_nonlocal_bind
  if grep -q "^net.ipv4.ip_nonlocal_bind" /etc/sysctl.conf; then
    sudo sed -i 's/^net.ipv4.ip_nonlocal_bind.*/net.ipv4.ip_nonlocal_bind = 1/' /etc/sysctl.conf
  else
    echo "net.ipv4.ip_nonlocal_bind = 1" | sudo tee -a /etc/sysctl.conf
  fi

  # 3. Apply changes immediately
  sudo sysctl -p
}

Puedes verificar si Redis presenta esta recomendación u otro error en su log, ejecutando:

sudo tail -f /var/log/redis/redis-server.log

Puedes verificar las queries de ejecución que llegan a Redis con este comando: 

redis-cli monitor

Configuraciones importantes del vhost:

Configuración principal de nginx, incluyendo la eliminación del antiguo GeoIP y actualización de las reglas de los headers de seguridad:

Redefine reglas de nginx, incluyendo eliminación de GeoIP, optimizaciones de rendimiento y de seguridad, usualmente no trae impacto para aplicaciones:

sudo tee /etc/nginx/nginx.conf > /dev/null << 'EOF'
user root;
worker_processes auto;
pid /run/nginx.pid;
worker_rlimit_nofile 8192;
include /etc/nginx/modules-enabled/*.conf;

events {
    worker_connections 2000;
    # multi_accept on;
}

http {
    real_ip_recursive on;
    set_real_ip_from 127.0.0.1;
    real_ip_header X-Forwarded-For;

    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';

    log_format cloudflare '$http_cf_connecting_ip - $remote_user [$time_local] "$request" '
                          '$status $body_bytes_sent "$http_referer" '
                          '"$http_user_agent" "$http_x_forwarded_for"';

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;

    client_max_body_size 64M;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    server_names_hash_bucket_size 128;
    server_tokens off;
    port_in_redirect off;
    disable_symlinks if_not_owner from=/home/;

    map $scheme $fastcgi_https { ## Detect when HTTPS is used
      default off;
      https on;
    }

    include /etc/nginx/blocked_ips;

    pagespeed off;
    pagespeed XHeaderValue 1;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_ciphers EECDH+AESGCM:EDH+AESGCM;
    ssl_prefer_server_ciphers on;
    ssl_conf_command Options KTLS;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_dhparam /etc/nginx/ssl/dhparams.pem;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;

    limit_req_zone $binary_remote_addr zone=limit:10m rate=1r/s;
    limit_req_zone $binary_remote_addr zone=static:5m rate=30r/s;

    gzip on;
    gzip_disable "msie6";
    gzip_vary on;
    gzip_proxied any;
    gzip_comp_level 6;
    gzip_buffers 16 8k;
    gzip_http_version 1.1;
    gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

    brotli on;
    brotli_comp_level 6;
    brotli_static on;
    brotli_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

    include /etc/nginx/sites-enabled/*.conf;
    
    map $http_upgrade $connection_upgrade {
        default upgrade;
        ''      close;
    }
}
EOF

sudo tee /etc/nginx/global_settings > /dev/null << 'EOF'
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Frame-Options SAMEORIGIN always;
add_header X-Content-Type-Options nosniff always;
add_header Referrer-Policy strict-origin-when-cross-origin always;
add_header Permissions-Policy "geolocation=(), microphone=(), accelerometer=(), camera=(), gyroscope=(), magnetometer=(), payment=(), usb=(), display-capture=(), midi=()" always;
add_header Content-Security-Policy "img-src https: data:; script-src 'unsafe-inline' 'unsafe-eval'; script-src-elem 'self' 'unsafe-inline' blob: https:; style-src 'self' 'unsafe-inline'; style-src-elem 'self' 'unsafe-inline' https:; frame-src 'self' blob: https:; worker-src 'self' blob:; frame-ancestors 'self'; object-src 'none'; base-uri about: https:; upgrade-insecure-requests;" always;
add_header alt-svc 'h3=":443"; ma=86400' always;
EOF

sudo find /etc/nginx -type f -exec sed -i '/GEOIP_/Id' {} +
sudo rm -f /etc/nginx/proxy.conf
sudo rm -rf /etc/nginx/geoip
sudo nginx -t && sudo systemctl reload nginx

Instalación de sistemas específicos en CloudPanel:

En instalaciones de YOURLS, donde es necesario cambiar la búsqueda de index.php por yourls-loader.php, modifica la entrada try_files $uri $uri/ /index.php?$args; de la siguiente forma:

 ### BEGIN custom entry for YOURLS
 try_files $uri $uri/ /yourls-loader.php$is_args$args;
 # try_files $uri $uri/ /index.php?$args;
 ###  END custom entry for YOURLS

¡Listo!

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0
Regresar al inicio

Artículos relacionados